Home » News » Cybersecurity

Identità, nuovo perimetro di sicurezza: il 90% delle violazioni la coinvolge

di Redazione - 8 Aprile 2024
Ferdinando Mancini Southern Europe Sales Engineering Director Proofpoint Identità nuovo perimetro sicurezza

Nel panorama attuale delle minacce l’identità è ormai diventata il nuovo perimetro di sicurezza. Ad approfondire il tema,  Ferdinando Mancini, Director, Southern Europe Sales Engineering, Proofpoint.

“Non si tratta certo di una sorpresa – sottolinea Mancini – per chi segue i trends che mostrano come la stragrande maggioranza delle violazioni di sicurezza ormai derivi da attacchi basati sull’identità. Proofpoint ha rilevato che oltre il 90% delle violazioni coinvolge una componente di identità nella catena dell’attacco.

I professionisti della cybersecurity  hanno compreso da tempo che una delle principali vulnerabilità  di sicurezza è il comportamento umano. Secondo il più recente Verizon Data Breach Investigations Report il 74% delle violazioni confermate coinvolge l’elemento umano, un dato ormai costante da anni”.

Cosa sta cambiando in questo panorama che vede l’identità come nuovo perimetro di sicurezza?

Secondo Proofpoint la risposta è chiara: sua cambiando il modo in cui i cybercriminali stanno sfruttando gli esseri umani come anello debole della catena di attacco.

“Basti pensare – spiega Mancini – agli attacchi Scattered Spider e all’aumento del numero di quelli rivolti ai fornitori di servizi di identità negli ultimi mesi. Questi eventi indicano che gli attori delle minacce stiano ampliando tattiche collaudate come il phishing e il furto di credenziali e prendendo di mira la supply chain. Compromettere la supply chain può potenzialmente produrre un ritorno sull’investimento molto elevato. Per questo i cybercriminali stanno puntando sulle tattiche di maggior successo, l’attacco all’identità, per massimizzare i profitti.

Secondo il report State of the Phish 2023 di Proofpoint, il 79% delle aziende italiane ha subito attacchi di phishing andati a buon fine, che spesso hanno portato al furto di credenziali o alla compromissione di accounts, consentendo ai malintenzionati di accedere agli accounts o alle identità aziendali. Una volta compromessa anche una sola identità, i cybercriminali possono muoversi lateralmente con facilità all’interno dell’azienda. A questo punto, hanno quasi vinto la battaglia. L’escalation dei privilegi, la raccolta di informazioni, la distribuzione di payload e la realizzazione di altri obiettivi diventano un esercizio relativamente semplice. Possono ottenere tutto questo senza sfiorare alcune delle difese perimetrali tradizionali e senza particolari sforzi o conoscenze tecniche approfondite.

Secondo il Rapporto “Censis-DeepCyber” sulla sicurezza informatica in Italia, pubblicato nell’aprile 2022, l’81,7% della popolazione italiana teme di risultare facile preda di furti e violazioni dei propri dati personali sul web, con una preoccupazione che si estende anche alle aziende, che devono assolutamente adattarsi a questa nuova realtà e far evolvere le proprie difese.

Le tre principali tipologie di rischio legate all’identità

Molte aziende hanno investito in modo significativo per rafforzare la loro infrastruttura di identità, ma non hanno considerato i componenti più vulnerabili, come credenziali archiviate e nella cache, cookie di sessione, chiavi di accesso, shadow account privilegiati e configurazioni errate associate ad account e identità.

Capire come i criminali informatici stanno colpendo l’identità all’interno di un’azienda è il primo passo per proteggere la nuova superficie di attacco e interromperne la catena.

Per prima cosa, è necessario sapere quali sono i punti di accesso umano più vulnerabili e bersagliati in azienda. Non è possibile mitigare tutti i rischi, ma si devono stabilire delle priorità.

Gli attori delle minacce prendono di solito di mira tre aree di identità:

●         Identità non gestite: includono le identità utilizzate dalle applicazioni – accounts di servizio – e i local admins. Il team di threat research di Proofpoint ha rilevato che l’87% di questi ultimi non è registrato in una soluzione di gestione degli account privilegiati. Tuttavia, queste tipologie di identità spesso non vengono scoperte durante l’implementazione o vengono dimenticate dopo aver raggiunto il loro scopo. Molti di questi accounts utilizzano passwords predefinite o obsolete, elemento che aumenta ulteriormente il rischio.

●         Identità mal configurate: “shadow” admins, identità configurate con crittografia debole o assente e accounts con credenziali poco forti sono esempi di questo tipo di identità. Secondo il report Human Factor 2023 di Proofpoint ben il 40% delle identità configurate in modo errato o shadow admin possono essere sfruttate con un unico passaggio, ad esempio resettando la password di un dominio per aumentare i privilegi. Il report ha inoltre rilevato che il 13% degli shadow admins dispone già di privilegi di amministratore di dominio, consentendo ad attori malintenzionati di raccogliere le credenziali e infiltrarsi in azienda.

●         Identità esposte: questa categoria comprende credenziali memorizzate nella cache su vari sistemi, token di accesso al cloud archiviati sugli endpoints e sessioni di accesso remoto aperte. Un endpoint su sei contiene passwords di account privilegiati esposte, come le credenziali nella cache. Questa pratica è altrettanto rischiosa come quella di permettere ai dipendenti di lasciare sui loro dispositivi post-it adesivi con nomi utente e password, eppure viene comunemente trascurata.

Qualunque sia il tipo di identità compromessa, ai malintenzionati basta un solo account vulnerabile per ottenere accesso illimitato in azienda e più a lungo non vengono scoperti, più devastanti sono le potenziali conseguenze.

Identità e sicurezza: gestire i rischi con identity threat detection and response

La lotta a qualsiasi tipo di minaccia passa per diverse attività fondamentali: rilevare e identificare le minacce in tempo reale, assegnare loro una priorità e porre tempestivamente rimedio alla situazione automatizzando il più possibile le risposte. È qui che entrano in gioco le migliori pratiche di detection and response alle minacce.

Tuttavia, le aziende di solito la implementano solo per la loro tecnologia e questo non è sufficiente nell’attuale panorama di minacce incentrato sulle persone.

Poiché il perimetro umano è diventata la componente più vulnerabile, l’identity threat detection and response (ITDR) è emersa come elemento critico per identificare e mitigare le lacune nell’esposizione all’identità.

Per essere efficace, l’ITDR richiede una combinazione tra processi di sicurezza, strumenti e best practices, poiché tratta le identità come qualsiasi altro tipo di assets, ad esempio la rete e gli endpoints.

È consigliabile iniziare con controlli proattivi e preventivi in modo da scoprire e ridurre le vulnerabilità dell’identità prima che i criminali informatici possano sfruttarle. La ricerca continua e la correzione automatica sono il modo migliore per tenere lontani i malintenzionati.

Poi, bisogna essere in grado di neutralizzare rapidamente le minacce che dovessero sfuggire alle difese. Poiché nessun controllo è infallibile, va considerata l’intera catena di attacco. Bloccare rapidamente l’escalation dei privilegi è fondamentale, perché gli attori delle minacce tenteranno questo passo non appena avranno ottenuto l’accesso iniziale. Se non riescono a raggiungere alcun obiettivo, dovranno rinunciare e passare oltre.

Strumenti avanzati che offrono funzionalità come machine learning o analytics per rilevare eventi e comportamenti insoliti o sospetti, insieme a risposta automatizzate, aumentano il grado di successo.

Analogamente a strumenti come endpoint detection and response e rilevamento e risposta estesi, soluzioni ITDR robuste forniscono un approccio approfondito alla mitigazione dell’esposizione. I criminali informatici si muovono troppo velocemente perché i teams di sicurezza possano tenere il passo con le minacce all’identità senza gli strumenti giusti. Infine, un ITDR efficace si basa su best practices come la garanzia di una buona educazione e consapevolezza informatica. Dopo tutto, le persone possono rappresentare la più grande falla di sicurezza. Le difese incentrate sugli individui non funzionano se ai dipendenti non viene concessa la possibilità di interrompere la catena di attacchi modificando i loro comportamenti e abitudini”, conclude Mancini.

#Cybersecurity#Proofpoint#Providers#Scenari
Condividi questo articolo su:
Articoli correlati
Ing. Cristina Andreoni CEO Elan Regolamento Prodotti da Costruzione (CPR)
Attualità

Il Regolamento Prodotti da Costruzione (CPR)

Cristina Andreoni, CEO ELAN, approfondisce l’argomento relativo al Regolamento Prodotti da Costruzione (CPR), con riferimenti specifici al settore dei CAVI. Andreoni specifica anche come ELAN abbia costantemente lavorato per rendere...
25 Luglio 2024 - Redazione
Anand Oswal Palo Alto Networks 5G Cybersicurezza AI
Cybersecurity

Accelerare il 5G con la cybersicurezza alimentata dall’AI

L’attuale momento storico che vede al centro della sua grande evoluzione la trasformazione digitale delle imprese, necessita, secondo Anand Oswal, Senior Vice President e General Manager of Network Security di...
24 Luglio 2024 - Redazione
Domenico Favuzzi Exprivia CyberSecurity Cover Story S News 75
Cybersecurity

Exprivia e il futuro dell’ICT: AI, ESG, CyberSecurity

Exprivia è la protagonista della Cover Story del numero 75 di S News, il numero Speciale dedicato in particolar modo al Security Management, ai Progettisti e ai grandi End Users...
23 Luglio 2024 - Monica Bertolo
Altre news da: Cybersecurity
Check Point Research attacchi informatici Q2 2024
Cybersecurity

+30% di attacchi informatici Q2 2024: l’aumento maggiore degli ultimi 2 anni

I nuovi dati rilasciati da Check Point Research sulle tendenze degli attacchi informatici nel Q2 del 2024, rivelano un incremento del 30% a livello globale determinando così l’aumento maggiore degli...
18 Luglio 2024 - Redazione
Exprivia Rivoluzione digitale NIS2 e AI per una Nuova Era della CyberSecurity
Cybersecurity

NIS2 e AI per una Nuova Era della CyberSecurity

Exprivia, in collaborazione con Akamai, Pointsharp e Sophos, nella spettacolare cornice del Rooftop di Copernico Isola S32 nel cuore pulsante del fintech district milanese, ha tenuto giovedì 27 giugno l’evento “Rivoluzione...
11 Luglio 2024 - Redazione
Domenico Raguseo Exprivia Cybercrime Infrastrutture Critiche e ICT
Cybersecurity

Meno cybercrime ma aumentano gli attacchi a Infrastrutture Critiche e ICT

Secondo l’ultimo rapporto dell’Osservatorio Cybersecurity di Exprivia “Threat Intelligence” nel primo trimestre 2024 i fenomeni di cybercrime in Italia sono diminuiti dell’11% rispetto alla fine dello scorso anno, ma aumentano...
10 Luglio 2024 - Redazione

RIVISTA

Scarica l’ultimo numero in versione PDF.

Fiere ed eventi

S NewsLetter

Rimani sempre aggiornato sulle ultime novità della sicurezza.

Ho letto e compreso la vostra privacy policy.